Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

17. Newsletter - sicherheitskultur.at - 29.03.2008

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Standardüberblick (aus dem Secorvo Newsletter)
------------------------------------------------------
Die deutsche BITKOM Organisation hat einen ultimativen Überblick über 
Informationssicherheitsstandards erarbeitet und gibt auf 84 Seiten einen 
systematischen Überblick über das schon etwas verwirrende Gebiet. 
Der Text nennt sich Kompass der IT-Sicherheitsstandards Leitfaden 
und Nachschlagewerk (neue Version 2008).
   http://www.bitkom.org/de/publikationen/38337_40496.aspx

Auch sehr interessant ist ein ganz neues (2008) kostenloses 
Open Source Grundschutz-Tool.
     http://www.verinice.org/Downloads.48.0.html" target="_blank" class="bold"

Vom deutschen Innenministerium gibt es einen Text: 
Schutz Kritischer Infrastrukturen  – Risiko- und Krisenmanagement 
(Leitfaden für Unternehmen und Behörden). 
http://www.bmi.bund.de/cln_028/nn_174256/Internet/Content/Broschueren/2008/Leitfaden__Schutz__kritischer__Infrastrukturen.htm

Auch hilfreich die Risk Management Series des US-Behörde FEMA 
(Federal Emergency Management Agency, nicht rühmlich beim Wirbelsturm 
über New Orleans, vielleicht geschrieben als Reaktion darauf).
   http://www.fema.gov/library/viewRecord.do?id=2676


2. Was man aus den letzten Bankenskandalen lernen kann
--------------------------------------------------------------
Zu Liechtenstein habe ich nur wenig Informationen, aber es sieht so aus, als wären da sogar 
zwei mal Daten "abhanden gekommen".
Die 2. CD betrifft angeblich Kundendaten der Liechtensteiner Landesbank (LLB)
    http://derstandard.at/?url=/?id=3254858
da soll diesmal auch Erpressung im Spiel sein, recht interessant.

In Frankreich ist man mitteilsamer, die Societé Generale veröffentlicht sehr viele
Details ihrer Untersuchungen (was bestimmt ein kluger Schritt ist).
Lesenswert:
http://www.sp.socgen.com/sdp/sdp.nsf/V3ID/D22EA4F2E1FB3487C12573DD005BC223/$file/08005gb.pdf
http://www.sp.socgen.com/sdp/sdp.nsf/V3ID/6D44E7AEF3D68993C12573F700567904/$file/comiteSpecialFevrier08gb.pdf
 (die URLs muss man vermutlich wieder zusammensetzen)
Hier ein recht guter Artikel zur IT-Relevanz:
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1296774,00.html

Und hier ein Punkt aus dem Plan der SG, wie solche Sachen vermieden werden sollen:
- Strengthening IT security through the development of strong identification
  solutions (biometry), the acceleration of current structural plan for the management
  of access security and targeted security audits
Man kann zwar darüber streiten, ob Biometrie das verhindert hätte, aber insgesamt
sind das ja Ziele, die jeder Sicherheitsbeauftragte auch gern als Aufgabenstellung
hätte.


3. Sehr lesenswerte ENISA Studie
---------------------------------------
Ross Anderson, Rainer Böhme, Richard Clayton, and Tyler Moore have
published a major report on security and economics: 
"Security, Economics, and the Internal Market," published by the 
European Network> and Information Security Agency (ENISA).
  http://www.enisa.europa.eu/doc/pdf/report_sec_econ_&_int_mark_20080131.pdf
oder  http://tinyurl.com/35ao58
Es geht in dieser Studie um Policy-Vorschläge für die EU-Komission, u.a. wird da über 
neue Haftungskonzepte geschrieben, aber auch über die Problematik der Datensammlung
zu Sicherheitsereignissen, kritische Infrastruktur, etc. etc. Viel Material, noch mehr
Links im Anhang.

Ich bin schon lange ein Fan von Ross Anderson, hier mehr Links zu seinen Texten:
   http://sicherheitskultur.at/haftung.htm#worm
(etwas weiter unten, hinter "Deworming ........")
Und: http://www.cl.cam.ac.uk/~rja14/econsec.html#Privacy
eine sehr interessante Sammlung von Artikeln zu Ökonomie, Privatsphäre und Anonymität
mit Hintergründen und Untersuchungen über das "Sich-abkaufen-lassen" von Anonymität.


4. Verlust an Privatsphäre durch die Social Network Sites
---------------------------------------------------------
Ein neuer Text von mir "Verlust an Privatsphäre durch die Social Network Sites"
     http://sicherheitskultur.at/privacy_soc_networking.htm
Für alle CISOs und CSOs ist zumindest dieser Teil relevant:
     http://sicherheitskultur.at/privacy_soc_networking.htm#indu
Hier geht es konkret im Xing.com und LinkedIn.com, wie diese Sites für 
Industriespionage genutzt werden und was die Mitarbeiter ganz konkret beachten sollen,
wenn sie dort mitmachen.


5. P2P-Probleme für Unternehmen
------------------------------------
Hier die Fortsetzung zu der Geschichte mit dem MP3-Spieler und den Bankunterlagen 
aus dem vorigen Newsletter:
     http://sicherheitskultur.at/notizen_1_08.htm#dumm
Das ist kein Einzelfall, sondern bereits ein richtiger Erwerbszweig.  :-(


6. Von der sicherheitskultur.at
-----------------------------------
Eine Analyse zum Storm Worm und seiner Entwicklung
     http://sicherheitskultur.at/notizen_1_08.htm#storm

Dabei auch ein Hinweis auf ANUBIS - Analyze Unknown Binaries, ein hilfreicher
Dienst der TU Wien (mit Link)

Und ein klassischer Denkfehler bei Risikobetrachtungen:
     http://sicherheitskultur.at/notizen_1_08.htm#mifare


Humor
-------
Nicht ganz aus dem Gebiet der Informationssicherheit, aber doch sehr lustig 
(für meinen Geschmack):
"The Theory of Interstellar Trade," von Paul Krugman, geschrieben 1978
      http://www.princeton.edu/~pkrugman/interstellar.pdf
       It is chiefly concerned with the following question: how should interest 
       charges on goods in transit be computed when the goods travel at close 
       to the speed of light? This is a problem because the time taken in transit 
       will appear less to an observer traveling with the goods than to a stationary 
       observer. A solution is derived from economic theory, and two useless 
       but true theorems are proved.
Das Ganze weiterdenkend finde ich auch jede Menge Anwendung für die CSOs, etc.:
Wenn es um das ROI (return on investment) einer Investition in einem sehr 
schnellen Raumschiff geht, welche Zeitbasis wird dann zugrunde gelegt, 
die stationäre beim Start oder die bewegte im Objekt? 
Und das Konzept des "Present Values" bei ROI-Berechnungen
bekommt durch einen relativistischen Ansatz eine ganz neue Komplexität.

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.